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Report a data error here 



Abstract of EP1 267265 

The electronic system is protected from 
transient errors by using two time multiplexed 
virtual channels. Each channel (1,2) has an 
acquisition and processing stage which take 
place successively and are followed by voting, 
commands then scrub and standby. If an error 
is detected the real time cycle is inhibited and 
a new cycle starts using the context of the 
cycle before fault detection and the fault cycle 
acquisitions 
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(54) Dispositif de surveillance des acces memoire 



(57) La presente invention conceme un dispositif de 
surveillance des acces memoire (51) dans un caicula- 
teur comprenant une unite centrale, realisee autour d'un 
microprocesseur (50), et une memoire (53), dans lequel 
la memoire est partitionnee en segments, dans lequel 
chaque segment a un droit d'acces defini par une fonc- 



tion logique de tout ou partie des cles disponibles dans 
ie dispositif, le droit d'acces a chacun des segments 
etant controle en temps reel, et dans lequel certains 
segments ont un acces autorise seulement si le micro- 
processeur a une tres forte probability d'etre en bon etat 
de fonctionnement, et permettent ainsi un stockage sur 
de donnees critiques. 
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Description 
DOMAINE TECHNIQUE 

[0001] La presente invention conceme un dispositif 
de surveillance des acces memoire utilisable dans un 
systeme electronique soumis k des contraintes d'er- 
reurs transitoires, par exernple dans le domaine spatial. 

ETAT DE LA TECHNIQUE ANTERIEURE 

[0002] Le dispositif de {'invention conceme toutes les 
architectures informatiques soumises a des erreurs 
transitoires. Ainsi, par exernple, les domaines suivants 
utilisent des calculateurs soumis k des environnements 
perturbants pour les composants electroniques (radia- 
tions, perturbations electromagnetiques) susceptibles 
d'engendrer de telles erreurs : 

domaines spatial, nucleaire et aeronautique, ou 
I'environnement est constitue entre autre d'ions 
lourds, 

domaine automobile, soumis a un environnement 
electromagnetique severe. 

[0003] Dans la suite de la description, on considerera, 
a titre d'exemple, le domaine spatial du fait qu'il esttres 
representatif des erreurs transitoires aleatoirement ge- 
nerees sur des composants electroniques, et parce que 
c'est dans ce domaine qu'a ete initialement developpe 
et evalue le procede de invention. 
[0004] Les concepteurs d'architectures informatiques 
pour satellites sont confrontes au probleme des radia- 
tions existantes dans I'espace, qui sur terre sont filtrees 
par I'atmosphere. Ces radiations peuvent avoir pour ef- 
fet un « evenement singulier » qui occasionne des 
changements d'etats temporaires de bits dans les com- 
posants memoires, dans les registres internes de mi- 
croprocesseurs ou d'autres composants integres. Les 
erreurs engendrees par ces evenements singuliers peu- 
vent, par exernple aboutir a la generation de donnees 
erronees, par exernple une mauvaise commande d'un 
actuateur d'un satellite, ou a une perturbation grave du 
sequencement du logiciel, par exernple plantage d'un 
microprocesseur. 

[0005] Jusqu'& present, la solution aux erreurs de ty- 
pe evenement singulier residait dans ^utilisation de 
technologies de circuits integres peu sensibles a ce 
phenomene, dites « tolerantes aux radiations*, voire 
insensibles, dites « durcies aux radiations ». De telles 
technologies, qui ne sont pas utilisees en micro-el ectro- 
nique industrielle, ont et6 developpees specif iquement 
pour des applications militaires et spatiales. 
[0006] Le coOt global associ6 k I'existence de ces 
technologies micro-electronique et au developpement 
de composants utilisant de telles technologies, et done 
le cout de vente de ces composants, est tres eleve. Le 
ratio du coGt entre un circuit durci et un circuit commer- 



cial peut etre de 100 ou plus. 

[0007] La part de marche des composants militaires, 
dit «hautefiabilite », a f ortement chute, de 80% dans les 
annees 1 960 a moins de 1 % en 1 995. A partir de 1 994, 

5 le departement americain de la defense a donne un 
coup de f rein a I'utilisation de composants electroniques 
militaires pour ses applications, et accelere le proces- 
sus d'appropriation par les activites militaires des spe- 
cifications/normes/composants commerciaux. 

10 [0008] Comme decrit dans le document reference [1 ] 
en fin de description, I'utilisation de composants elec- 
troniques commerciaux est devenu un challenge auquel 
est confronte le domaine spatial. 
[0009] Utilisation de composants commerciaux 

15 dans les applications spatiales est un probleme auquel 
est confronte tout projet de nouvelle generation. Un pro- 
bleme majeur k resoudre est alors la sensibiilte de ces 
composants aux radiations, et en particulier aux ions 
lourds : cet aspect qui etait traite au niveau 

20 « composant » anterieurement, doit alors etre resolu au 
niveau « architecture » et « systeme ». Comme decrit 
dans les deux documents references [2] et [3], les sa- 
tellites, et done leur electronique embarquee, sont en 
effet soumis k un environnement radiatif, compose de 

25 differentes particules (electrons, ions lourds, protons), 
que ne connaissent pas les systemes utilises au sol car 
ces particules sont filtrees par I'atmosphere. 
[0010] Ces particules peuvent etre dues : 

30 - au rayonnement cosmique d'origine en partie extra 
gaiactique, en partie galactique, constitue d'ions ex- 
tremement energetiques, 

aux ceintures de radiation constitutes d'electrons 
et de protons pieges engendres suite a des interac- 
ts tions entre I'atmosphere terrestre et des particules 
solaires, 

aux eruptions solaires qui emettent des protons ou 
des ions lourds, 

au vent solaire genere par ^evaporation du plasma 
40 coronal, permettant I'echappement k I'attraction 
gravitationnelle du soleil de protons et d'ions de fai- 
ble energie. 

[0011] Ces particules energetiques, en percutant et 
45 traversant un composant electronique, lui transferent 
une partie de leur energie qui va perturber le bon fonc- 
tionnement de celui-ci. On considere ici les problemes 
nommes « evenements singuliers », crees par les ions 
lourds et les protons. 
so [0012] Ces evenements singuliers correspondent k la 
generation d'erreurs dans des cellules qui memorisent 
des valeurs binaires, d'ou des erreurs de bits. En regie 
generate, un seul bit est modifie par un ion lourd. Ces 
evenements ne sont pas destructifs et I'on peut par la 
55 suite ecrire une nouvelle donnee ; celle-ci est memori- 
see sans erreur, k moins de I'apparition d'un autre eve- 
nement singulier dans cette meme cellule. C'est la rai- 
son pour laquelle on utilise dans la suite le terme « faute 



2 



BNSDCCID: <EP 1 267265A2_I_> 



3 



EP 1 267 265 A2 



4 



transltoire » pour caracteriser les erreurs engendrees 
par ces p he nomdnes . 

[001 3] Comme on Pa cteja pr^sente ci-dessus, la rea- 
lisation de I'eiectronique embarquee sur satellite est la 
plupart du temps realisee avec des composants insen- 5 
slbles aux radiations, soft specifiquement fabriques 
pour cela, soit obtenus par selection de composants non 
specifiquement fabriques pour cela. 
[001 4] Pou r pouvoir utilis-sr des composants commer- 
ciaux dans le domaine spatial sur une large echelle, une 10 
premiere possibility est une selection par test en radia- 
tion systematique des composants commerciaux. Une 
telle rhethode serait non seulement tres coOteuse sur ie 
plan de la selection, mais encore un pis aller carelle ne 
permet pas forcement d'utiliser les grands standards de is 
Pindustrie, ce qui est pourtant souhaitabie. 
[0015] Une deuxfeme possibillte economiquement 
plus rentable permet de r6duire les contraintes sur les 
choix de composants. Elle consiste a trouver une me- 
thode permettant de toierer les ph6nom6nes engendres 20 
par les radiations, en particuiier les erreurs transitoires, 
c'est-a-dire definir des architectures permettant de de- 
teeter les erreurs, puis de les corriger. La prise en comp- 
te des fautes transitoires est alors transferee du niveau 
« composant » au niveau « architecture » et 25 
« systeme » . 

[0016] Un ensemble de mecanismes de detection, 
isolation et recouvrement de fautes est d£crrt dans les 
documents references [4], [5] et [6]. Certains mecanis- 
mes permettent simplement de detecter des erreurs, 30 
d'autres de les detecter puis de les masquer, voire de 
les corriger Par ailleurs, ces mecanismes sont adaptes 
au traitement soit de fautes temporaires, soit de pannes 
definitives, soit des deux. 

[0017] Un rappel succinct de mecanismes usuels est 35 
propose ci-dessous, avec quelques exemples dupli- 
cation en particuiier dans le domaine spatial : 

Evitement de fautes : rafraichissement systemati- 
que des donnees statiques avant leur utilisation *o 
effective ; autotests dits « off-fine » (en dehors du 
fonctionnement nominal) permettant de detecter 
une panne de composant avant que celui-ci ne soit 
utilise. 

Codes detecteurs ou detecteurs/correcteurs d'er- 45 
reurs qui s'appliquent aux memoires, aux commu- 
nications, et eventuellement a la logique, essentiel- 
lement dans la realisation de circuits integres sp£- 
cifiques d'une application (ASIC) ou de circuits lo- 
giques programmables par Putilisateur (FPGA) a so 
controle integre. Des circuits a detection et correc- 
tion d'erreurs (EDAC) sont systematiquement utili- 
ses en spatial sur les plans memotre. Une fonction 
de relecture systematique (ou « scrubbing ») de 
tout le plan memoire est associee a ces circuits et 55 
s'execute en tSche de fond afin d'eviter Paccumula- 
tion d'erreurs dormantes qui, a terme, pourraient 
mettre en defaut la possibilite de detection/correc- 



tion. 

Duplication et comparaison, ou triplication et vote 
majoritaire (« N Modular Redondance », redondan- 
ce modulaire d'ordre N). Ces mecanismes permet- 
tent d'obtenir des architectures stires (« fail safe ») 
lors d'une panne qui ne genereront pas de mauvai- 
se commande mais qui s'arreteront a la premiere 
faute (duplex), ou des architectures restant opera- 
tionnelles (« fail operational ») lors d'une panne, qui 
auront la capacite de masquer une erreur simple en 
temps r£el et de poursuivre en restant « sQres » (tri- 
plex). On trouve egalement dans cette classe les 
architectures maitre/controleurou Pon duplique uni- 
quement les microprocesseurs, les donnees sor- 
tant du « mattre » etant verifiees par ie 
« controleur » ; le microprocesseur ERC-32 de la 
societe MHS S.A. integre un tel mecanisme. 
Methode de programmation multiple (« N-version 
programming »), associee aux architectures a re- 
dondance modulaire d'ordre N, qui permet de de- 
tecter egalement des erreurs de conception logi- 
cielle. Chaque caiculateur dispose d'une version de 
logiciel qui a ete developpee specifiquement a partir 
d'une specification commune. 
Redondance temporelJe : il s'agit soit d'avoir deux 
executions successives suivies d'une comparai- 
son, soit d'avoir une seule execution suivie du char- 
gement d'un registre de commande puis de la re- 
lecture de celui-ci afin de realiser une comparaison 
et une validation, tel le mecanisme « armer puis 
tirer » utilise en spatial pour les commandes tres cri- 
tiques, par exemple le declenchement des ele- 
ments pyrotechniques. 

Controle du temps d'execution : des « chiens de 
garde », compteurs de temps qui permettent de ve- 
rifier ('execution en une duree bomee d'un logiciel, 
sont utilises dans tous les calculateurs spatiaux. De 
plus, des controies plus fins du temps d'execution 
peuvent etre incorpores dans le logiciel : controle 
de la duree d'une tache, duree maximale autorisee 
pour obtenir la reponse d'un element de communi- 
cation, etc. Des logiciels permettent de positionner 
des controies sur la duree d'execution des taches. 
verification du flot de controle, par exemple contro- 
le du sequencement d'un microprocesseur. Les 
chiens de garde permettent un contrfile grossier : 
detection d'un plantage dur. Un controle fin du flot 
d' instruction est possible avec un processeur de 
surveillance plus ou moins complexe. Le controle 
par analyse de signature est particulierement effi- 
cace et peu demandant en eiectronique. Ce con- 
cept a ete integre dans P ERC-32 de la societe MHS 
S.A. mais, pour etre transparent a Putilisateur, il a 
fallu developper un compilateur specifique qui cal- 
cule les signatures de reference et les integre dans 
le code. 

Controle de la validite de I'adressage d'un micro- 
processeur a partir des droits d'acces par pages/ 
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segments. 

Controle de vralsemblance : ce principe est utilise 
dans les Systemes de Controle d'Attitude et d'Orbi- 
te (ou SCAO) de satellites ou Ton compare soit les 
donnees de plusieurs types de capteurs pour de- 5 
teeter des incoherences eventuelles, soit une don- 
nee par rapport a une reference estimee grace a un 
filtre predictif sur les valeurs precedentes, soit une 
donnee par rapport a une plage d'appartenance 
predef inie. Les methodes dites « tolerance aux fau- 10 
tes basee sur le traitement algorithmique » repre- 
sentent une sous-classe des controies de vraisem- 
blance : la verification etant basee sur ('execution 
d'un deuxieme algorithme, par exemple I'algorithme 
inverse qui permet de retrouver les donnees initia- *s 
les en partant des resultats obtenus si ceux-ci sont 
exempts d'erreurs. 

Controle structurel ou semantique des donnees, 
necessitant des structures de donnees relative- 
ment complexes. 20 
Concepts complementaires de recouvrement d'er- 
reurs, principalement des points de reprise pour les 
mecanismes decrits precedemment ne permettant 
pas decorriger les fautes : sauvegarde reguliere de 
contextes et reprise a partir du dernier contexte ^5 
sauvegarde. 

Une autre possibility du recouvrement d'erreurs re- 
side en la reinsertion d'une ressource en faute par 
transfusion d'un contexte sain dans un calculateur 
fautif , afin de retrouver la capacite initiale de detec- 30 
tion/correction. 



[001 8] 1 1 existe egalement des documents de I'art con- 
nu dans le domaine de la redondance temporelie. 
[0019] Le document reference [5] evoque la possibi- 
lity d'executer une tache trois fois de suite etde « voter » 
le resultat. 

[0020] La possibilite de realiser un fonctionnement de 
type redondance modulaire d'ordre N en logiciel, est 
egalement mentionnee de facon theorique dans le do- 
cument reference [6]. 

[0021 ] Dans ce dernier document, une autre methode 
permet de discriminer les fautes transitoires des fautes 
permanentes voire de les corriger. La detection n'est 
pas une methode de redondance temporelie mais, par 
exemple, un codage des donnees. En cas de detection, 
le traitement est execute une deuxieme fois ; si la 
deuxieme execution donne des resultats sans erreur, il 
s'agit d'une erreur transitoire et il est inutile de reconfi- 
gurer le systeme ; dans le cas inverse, une reconfigu- 
ration est necessaire car il s'agit d'une faute permanen- 
te. 

[0022] Dans ces deux documents, la redondance 
temporelie est mentionnee comme theoriquement pos- 
sible, mais aucune information n'est fournie quant a la 
possibilite reelle de sa realisation, aucun developpe- 
ment concret n'est cite. Certains problemes restent 
entiers : en particulier, le vote peut-il etre realise par le 



microprocesseur lui-meme ou doit-il etre realise par un 
organe externe et independant du microprocesseur. En 
effet, le resultat du vote se doit d'etre robuste puisque 
e'est I'element decisionnel, or le microprocesseur peut 
etre victime de dysfonctionnement : erreur de donnees, 
plantage du sequencement, etc. La realisation du vote 
par le microprocesseur est done un element majeur non 
aborde. Par ailleurs, la granularite sur laquelle se base 
la detection n'est pas definie. 

[0023] Le document reference [7] est u n peu plus con- 
cret. II presente une evaluation comparative de deux 
methodes de detection d'erreurs. L'une d'entre elles est 
nommee « triple redondance modulaire logicielle ». La 
triple redondance modulaire est consideree comme ha- 
bituellement realisee en materiel. La methode evaluee 
dans cette publication utilise la redondance temporelie 
par execution successive du logiciel, tous les modules, 
notamment le module vote, etant realises en logiciel et 
executes sur le meme microprocesseur. C'est done une 
approche purement logicielle. La figure 1, qui corres- 
pond a la figure 1 de ce document, illustre la realisation 
de la detection : trois modules vote 1 , 2 et 3 comparant 
chacun les resultats de Pexecution de trois traitements 
4, 5 et 6 sont suivis d'un etage de decision 7, qui com- 
pare le resultat issu de chacun des modules votes pour 
verifier la coherence des trois traitements. La triple re- 
dondance modulaire logicielle est programmed sur un 
microprocesseur MC68000. Environ 1500 erreurs ont 
ete injectees pour valider ce logiciel. La memoire n'est 
pas protegee des erreurs par un circuit de detection et 
correction d'erreurs. Ce document conclut que seules 
les erreurs qui entraineraient un traitement a en pertur- 
ber un autre, ne peuvent pas etre detectees. De plus, 
les erreurs affectant les communications entre program- 
35 mes ne sont pas entierement tolerees. 

[0024] Ce document mentionne une realisation con- 
crete d'une architecture ou les traitements sont execu- 
tes trois fois de suite (redondance temporelie), et ou le 
module vote est execute trois fois, les resultats des mo- 
40 dules de vote etant ensuite eux-memes votes. II appa- 
rait que le vote n'est aucunement securis6, c'est pour 
cela qu'il'doit etre triplique. La prise finale de decision 
est alors confiee au dernier etage illustre sur la figure, 
qui est indirectement securise par le fait qu'il est force- 
45 ment d'une taille tres faible (il suffit de quelques lignes 
de code pour voter trois donn6es) : statistiquement, les 
evenements singuliers affectant directement ce module 
sont negligeables, mais ceci ne le securise pas vis-a- 
vis des erreurs de sequencement du microprocesseur. 
so [0025] Le document reference [8] presente egale- 
ment une realisation de «triple redondance modulaire 
logicielle^ sur un microprocesseur de type iAPX 432, 
realisation proche de celle presentee dans le document 
reference [7] : chaque sous-tache logicielle est execu- 
55 tee trois fois de suite, puis un module de vote logiciel 
est egalement execute trois fois, ce qui permet de con- 
clure qu'il n'est pas securise, ces taches s'executant sur 
le meme microprocesseur de facon asynchrone. Une 
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phase d'injection d'erreur a permis de mettre en eviden- 
ce des propagations d'erreurs entre sous-taches, ce qui 
tend a montrer qu'il n'y a pas d'etancheification des 
sous-taches les unes par rapport aux autres. 
[0026] Le document reference [9] donne un apergu 
general de precede de traitement de systeme electroni- 
que ou digital soumis a des contraintes d'erreurs tran- 
sitoires et rnentionne, comme moyens'de traitement, la 
redondance d'ordre spatiale airri que la redondance 
d'ordre temporelle. 

[0027] Le document reference [10] divulgue egale- 
ment un procede de traitement d'un systeme electroni- 
que soumis a des erreurs, ledit systeme proposant ('uti- 
lisation d'une seule chame physique afin d'eviter I'utili- 
sation de chaTnes redondantes. 

[0028] Le document reference [11] decrit des prece- 
des appliques aux microprocesseurs recents pour per- 
mettre une gestion memoire et une memoire virtuelle. 
Un principe d'acces limite aux informations est envisa- 
ge. Certains droits d'acces a une page ou a un segment 
sont donnes a chaque processus, ces droits d'acces 
etant controles en temps reel. 

[0029] Une estimation du taux d'evenements singu- 
liers dans un calculateur spatial typique a ete realisee ; 
ce taux depend bien sur d'hypotheses comme du riom- 
bre de cellules memoire et de ia valeur de la sensibilite 
d'une cellule unitaire prise en compte. Une simulation 
de la criticite des erreurs sur la gestion de I'attitude d'un 
satellite a egalement ete faite en prenant en compte la 
generation d'une mauvaise commande sur un actuateur 
moyennement critique d'un systeme de controle d'atti- 
tude et d'orbite, par exemple une roue a reaction. II ap- 
parait que le taux d'evenements singuliers est faible, 
mais pas suffisamment pour negliger ce phenomene 
vis-a-vis de deux types de commandes : 

commandes les plus critiques : pyrotechnie, propul- 
seurs, gestion batterie, etc. On ne peut pas prendre 
le risque de perdre un satellite plusieurs fois par an ; 
commandes moyennement critiques : roues a reac- 
tion, magneto-coupleurs, etc. Certaines missions, 
en particulier commerciales (observation, telecom- 
munication) ne sont pas compatibles de perturba- 
tions d'attitudes potentiellement engendrees par 
ces erreurs, meme si celles-ci restent limitees. 

[0030] Par aiileurs, la frequence des evenements sin- 
guliers est tres largement superieure a la frequence du 
cycle temps reel du calculateur. 

[0031 ] L'objet de invention est de proposer un dispo- 
sitif de surveillance des acces memoire utilisable dans 
un systeme electronique soumis a des contraintes d'er- 
reurs transitoires permettant d'utiliser des composants 
commerciaux malgre leur sensibilite aux evenements 
singuliers, en permettant de detecter I'apparition d'er- 
reurs transitoires et de les corriger. 



EXPQSfr DE L'INVENTION 

[0032] La presente invention concerne un dispositif 
de surveillance des acces memoire (SAM) dans un cal- 
5 culateur, comprenant notamment une unite centrale 
realisee autour d'un microprocesseur, et une memoire, 
caracterise en ce que la memoire est partitionnee en 
segments, et en ce que chaque segment a un droit d'ac- 
ces defini par une fonction logique de tout ou partie des 
io cles disponibles dans le dispositif, le droit d'acces a cha- 
cun des segments etant controle en temps reel. Cer- 
tains segments ont un acces autorise seulement si le 
microprocesseur a une tres forte probability d'etre en 
bon etat de fonctionnement, permettant ainsi un stoc- 
ks kage sur de donnees critiques (par exemple des don- 
nees de contexte). 

[0033] Avantageusement, en fonction de la program- 
matlon des cles disponibles dans le dispositif, un en- 
semble de segments disjoints est accessible, en lecture 
20 seule pour certains segments, en lecture/ecriture pour 
d'autres segments. 

[0034] Avantageusement, la taille des segments est 
quelconque, afin d'etre optimisee pour une application 
donnee. 

25 [0035] Avantageusement, la definition du jeu de cles 
disponibles, les fonctions logiques de combinaison de 
ces cles et la configuration des segments accessibles 
en fonction de la programmation des cles, sont specif i- 
ques. 

30 [0036] On peut, de plus, definir les specificites de ce 
dispositif liees a la propre definition des cles, par 
exemple : 

I'un des segments dispose d'une autorisation d'ecri- 
35 ture accessible selon un etat exceptionnel du cal- 
culateur, permettant ainsi un stockage sur de don- 
nees critiques (par exemple le code), 
les segments permettant un stockage sur de don- 
nees critiques sont groupes par deux (segment "an- 
40 cien" et segment "nouveau") et travaillent en bas- 
culement (en "flip-flop''). 

[0037] Le dispositif de Invention permet de realiser : 

45 - une duplication temporelle de I'execution des ta- 
ches, et vote des tables resuttantes, 

une detection de toutes les erreurs de donnees gra- 
ce au vote des tables, 

so 

une detection des erreurs de sequencement grace 
aux dispositifs materiels et logiciels de securisation 
du vote et de controle des droits d'acces ; 

55 - une correction transparente a I'application : tout se 
passe comme s'il y avait un « trou » d'un cycle 
temps reel. 
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[0038] La minimisation des developpements specifi- 
ques est Tun des avantages du traitement d'erreur auto- 
rise par le dispositif de I'invention, a savoir : 

Pour le logiciel : 

• le regroupement des variables votees dans des 
tables, 

• le module de « Vote et generation des 
commandes », qui est par ailleurs reutilisable 
d'une application a Pautre, 

• ia gestion du procede de {'invention (gestion de 
la duplication temporelle, des dispositifs mate- 
riels de surveillance des acces memoire et de 
fenetre de validation temporelle, de la correc- 
tion des erreurs). 

Pour le materiel : 

• la surveillance des acces memoire et la fenetre 
de validation temporelle : ce sont des compo- 
sants simples, qu'il faut integrer dans un circuit 
FPGA ou, mieux, dans le circuit ASIC associe 
usuellement au microprocesseur (decodage 
d'adresses, etc.), Us sont par ailleurs reutilisa- 
bles d'une application a ('autre, 

• la protection de I'electronique des commandes 
critiques par des mecanismes usuels de tole- 
rance aux fautes (e.g. instrumentation). 

[0039] Les avantages du traitement d'erreur autorise 
par le dispositif de I'invention sont done les suivants : 

Tres peu de developpement materiels, 
Tres peu de developpement logiciels, 
Minimisation des couts recurrents (un seul calcula- 
tes) par rapport a d'autres architectures tolerantes 
aux fautes, 

de telles caracteristiques etant inhabituelles dans le do- 
maine de la tolerance aux fautes. 
[0040] De plus I'utilisation de composants 
« commerciaux » dans le spatial presente les principaux 
avantages suivants : 

Resoudre le probleme de la reduction constatee de 
I'offre en composants « haute fiabilite », suite aux 
retraits de ce marche de fournisseurs majeurs. 
Reduction des couts, aspect stimule par le contexte 
budgetaire. Or, le poste « composants haute 
fiabilite » est non negligeable dans le cout total du 
developpement d'un equipement, et devient pre- 
ponderant dans son cout recurrent. 
Utilisation de fonctions/composants plus perfor- 
mants, permettant de reduire le volume d'electroni- 
que et/ou d'augmenter ia fo net ionna lite. 
Reduction de ia duree de developpement des pro- 
jets pour offrir un acces a I'espace plus reactif, le 



d6lai d'approvisionnement des composants 
« haute fiabilite » etant couramment de un ou deux 
ans. 

5 [0041 ] Avantageusement, le dispositif de I'invention a 
une vocation generique, et peut etre utilise dans tout 
type de calculateur soumis a des contraintes d'erreurs 
transitoires, quelle que soit I'origine de ces erreurs (ra- 
diations cosmiques, impulsion electromagnetique, etc.), 

10 mais il s'applique tout naturellement au domaine spatial. 

BREVE DESCRIPTION DES DESSINS 
[0042] 

• la figure 1 illustre une realisation de triple redondan- 
ce moduiaire logicielle de Tart connu, 

• la figure 2 illustre le synoptique de ('architecture ma- 
terielle servant de reference dans la presente des- 
cription, 

• la figure 3 illustre le diagramme temporel de I'archi- 
tecture logicielle de reference, 

• la figure 4 illustre le sequencement de I 'architecture 
de reference, 

• les figures 5A et 5B illustrent le sequencement glo- 
bal de fonctionnement : respect ivement sans utili- 
ser, et en utilisant le traitement d'erreur autorise par 
le dispositif de I'invention, 

• ia figure 6 illustre une description fonctionnelle du 
traitement d'erreur autorise par le dispositif de I'in- 
vention, 

• la figure 7 illustre le synoptique de I'ensemble de 
I'architecture materielle du traitement d'erreur auto- 
rise par le dispositif de I'invention, 

• la figure 8 illustre la zone de confinement des er- 
reurs au niveau materiel, 

• la figure 9 illustre le sequencement du traitement 
d'erreur autorise par le dispositif de I'invention et le 
basculement des tables de contexte, 

• la figure 1 0 illustre le vote des donnees, 

• les figures 11 A et 11 b illustrent la structure du vote 
du traitement d'erreur autorise par le dispositif de 
I'invention : respectivement les differentes erreurs 
de sequencement de type « plantage doux *> et la 
structure de la procedure de vote/generation des 
commandes. 

EXPOSE DETAILLE DE MODES DE REALISATION 
PARTICULIERS 

[0043] Dans la suite de la description, on considere a 
titre d'exemple une application du dispositif de I'inven- 
tion dans le domaine spatial. 

[0044] Une application ty pique et generique d'un cal- 
culateur utilise en spatial estfournie ci-dessous, tant du 
point de vue materiel que logiciel. (.'architecture de re- 
ference, illustree sur la figure 2, sert de base a la des- 
cription du dispositif de I'invention. 
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[0045] L'unite de gestion de bord 10, illustrde surcette 
figure 2, comprend : 



[0046] L'interface puissance 13 est reliee a un gene- 
rateur solaire 25 et a une batterie 26. 
[0047] L'interface telecommande-telemesure 14 est 
relie a un 6metteur/recepteur, duplexeur 27 en liaison 
avec des antennes 28 et 29. 

[0048] La charge utile 31 est relive a l'unite centrale 
11 par un bus avionique 32, a la memoire de masse 12 
ainsi qu'a l'interface tetecommande/telemesure 14 par 
une liaison serie haut debit 33, a l'interface charge utile 
15. 

[0049] L'interface pyrotechnie 16 est relie a des sys- 
temes deployables 35. 

[0050] L'interface thermique 17 est reliee a des re- 
chauffeurs, thennistances 36. 

[0051] L'interface systeme de controle d'attitude et 
d'orbite 1 8 est relie a des capteurs C1 , C2, ... Cn, a des 
actuateurs A1, A2 ... Am, et a un capteur de pression 
des reservoirs 37. 

[0052] Une telle architecture est done constitute de 
differents modules detraitement (module unite centrale) 
ou d'entree/sorties (modules d'acquisition, modules de 
commande). Les modules d'entree/sortie integrent 
I'electronique debas niveau (convertisseur analogique/ 
numerique ou numerique/analogique, multipiexeurs de 
voies numeriques ou analogiques, relais, etc.). 
[0053] Les modules peuvent indifferemment etre des 
cartes reliees par un bus fond-de-panier, ou des boitiers 
complets relies par un bus avionique. Dans les deux 
cas, l'interface au bus est realise par un Coupleur de 
Bus (CB) maftre sur ie module Unite Centrale, et par 
des coupleurs de bus abonnes sur les autres modules. 
[0054] L'architecture logicielle de reference, comme 
illustree sur la figure 3, est const ituee de taches de trai- 
tement (par exemple : tache du systeme de controle 
d'attitude et d'orbite, tache controle thermique, tache 
horloge temps reel, tache gestion bord, etc.), chaque 
tache generant des resurtats qui .doivent sortir du calcu- 
lateur (commandes ou cdes), ces resultats etant gene- 
res (i.e. sortis du calculateur) au fur et a mesure de leur 
calcul. Les acquisitions (ou Acq) sont groupees en de- 
but de cycle temps reel pour raison de coherence tem- 
porelie (systeme de controle d'attitude et d'orbite par 
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exemple). 

[0055] Sur la figure 3 les taches A, B et C sont repre- 
sentees a la meme frequence pour des raisons de clarte 
de ia description. 

[0056] L'activite de ces taches est rythmee par un cy- 
cle temps reel declenche par une interruption Temps 
Reel IT-TR cyclique. Ce cycle permet de demarrer de 
facon cyclique certaines taches, qui travaillent soit a ia 
frequence du cycle temps reel, soit a une sous-frequen- 
ce. D'autres taches sont asynchrones, initiaiisees sur 
evenements. 

[0057] Une representation faisant a la fois apparaitre 
l'architecture de reference materielle et logicielle est 
fournie a la figure 4. Sur cette figure sont representees 
l'unite centrale 40, I'electronique d'acquisition 41 relive 
a des capteurs 42, et I'electronique de commande 43 
reliee a des actuateurs 44, ces deux electroniques 41 
et 43, ainsi que l'unite centrale etant relives a un bus de 
donnees 45. 

[0058] Le sequencement des trois phases principales 
Ph1, Ph2et Ph3, que sont I'acquisition de donnees, leur 
traitement et la generation de commandes, mettent en 
jeu les trois parties distinctes de I'electronique 40, 41 , 
43, les phases Ph2 et Ph3 etant imbriquees. 
[0059] La partie materielle de cette architecture ne se 
base que sur des blocs fonctionnels et ne tient done pas 
compte de la specrficite de composants particuliers et 
de leurs capacites eventuelles dans le domaine de la 
detection/correction d'erreur. Le dispositif de I'invention 
est done autosuffisant. Cependant, ('utilisation d'even- 
tuels mecanismes de tolerance aux fautes integres aux 
composants retenus pour une application donnee ne 
peut qu'ameliorer le taux de couverture d'erreurs par 
rapport au traitement d'erreur autorise par (e dispositif 
de I'invention seul. 

[0060] Une determination des signatures d'erreurs 
potentielles de l'architecture de reference soumise a 
des evenements singuiiers a ete realisee. Etle a permis 
de regrouper les erreurs en deux classes essentielles : 

les erreurs de donnees, 

les erreurs de sequencement, qui peuvent etre 6ga- 
lement partagees en deux sous-classes : 

• « plantage doux » : branchement errone, mais 
le microprocesseur retombe en phase avec les 
instructions, et poursuit un sequencement des 
instructions plus ou moins erratique ; 

• « plantage dur *> : le microprocesseur n'est plus 
operationnel ; par exemple le microprocesseur 
ne reste pas en phase avec les instructions, le 
microprocesseur charge le registre d'instruc- 
tions avec des donnees, le pointeur de pile est 
perturbe, blocage du sequencement des ins- 
tructions, attente d'un evenement impossible, 
boucie infinie, etc. 
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une unite centrale 11 realisee autour d'un micropro- 
cesseur, 5 
une memoire de masse 12 
des interfaces puissance 13 : charge utile 15, pyro- 
technie 1 6, thermique 1 7, systeme de controle d'at- 
titude et d'orbite 18, 

relies par un bus de donnees 19, io 
un interface telecommand e-tel ernes u re 14 
une electronique de surveillance et de reconfigura- 
tion 20, 

des convertisseurs continu-continu 21 delivrant des 
alimentations commutees AC et permanentes AP. 1$ 
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[0061 ] Ces deux classes se subdivisent elles-memes 
en differentes sous-classes, dont la plus importante 
concerne les erreurs d'adresses. 
[0062] La distinction entre plantage « doux » et 
« dur » est importante : autant un dispositif materiel ex- 
terne au microprocesseur est gen6ralement necessaire 
a la detection des plantages « durs » (e.g. un chien de 
garde), autant un mecanisme logiciel peut etre suffisant 
pour detecter un plantage « doux » puisque, dans ce 
dernier cas, le microprocesseur continue a executer du 
code, meme si e'est de facon erratique. 
[0063] Par ailleurs, les plantages du microprocesseur 
constituent une classe d'erreurs critiques, car un 
« microprocesseur fou » est capable d'actions pouvant 
avoir des consequences catastrophiques pour une mis- 
sion spatiale ; il est done important de s'attacher a les 
detecter, et ceci avec un temps de latence court, et/ou 
de realiser des zones de confinement d'erreurs afin de 
minimiser la probability de mauvaises commandes suite 
a une erreur non d6tect6e. 

[0064] On va a present d6crire le fonctionnement du 
dispositif de I'invention proprement dit et du traitement 
d'erreur qu'H autorise. 

[0065] De facon globale, la granularity utilisee pour la 
detection/correction est le cycle temps r6e\ de base du 
calculateur, par exemple le cycle de ia tache du systeme 
de controle d'attitude et d'orbite d'un calculateur de pla- 
te-forme. 

[0066] En effet, dans le traitement d'erreur autorise 
par le dispositif de I'invention comme dans un duplex 
structure!, I'objectif est de laisser le calculateur travail ler 
sans surveillance et de choisir ou « voter » uniquement 
les donnees qui doivent sortir du calculateur (les com- 
mandes) ou qui servent a la correction (le contexte). 
[0067] Le choix du cycle temps reel pour la granularite 
presente de nombreux avantages : 

e'est a cette frequence que I'on accede en acquisi- 
tion ou en commande a une majorite de capteurs/ 
actuateurs ; 

e'est en fin de cycle temps reel que I'on dispose de 
donnees « actives » en nombre relativement 
restreint : il ny a pas de multiples donnees interme- 
diaires : ni de variables locales en cours 
d'utilisation : 

• pour la defection, on les stocke en un jeu de 
tables qui sont votees, 

♦ pour la correction, on dispose d'un contexte de 
reprise simple et bien localise. 

[0068] De facon plus precise, la granularite de la de- 
tection/correction pour une tache donn6e est la frequen- 
ce de cette meme tache, puisque le vote se fait en fin 
de tache. Par consequent, si I'on considere une tache 
du systeme de controle d'attitude et d'orbite a 1 0 Hz et 



une tache thermique a 1 Hz, la granularite est de 1 0 Hz 
pour le systeme de controle d'attitude et d'orbite et de 
1 Hz pour la thermique. Pour raison de clarte, on con- 
serve dans la suite du document la notion de 
5 « granularite par cycle temps reel *> plutot que « par 
tache ». 

[0069] Pour beneficier de I'efficacite du duplex, (deux 
chaines identiques en parallele, executant le meme lo- 
giciel, avec comparaison des sorties), qui permet de de- 

10 teeter toutes les erreurs sans exception quel que soit 
leurtype (erreur de donnees, d'adresses, desequence- 
ment, de configuration, etc.) : tout en supprimant la re- 
dondance structurelle, le traitement d'erreur autorise 
par le dispositif de ('invention consiste a implanter un 

15 fonctionnement duplex sur une seule chaTne physique. 
Dans un cycle temps reel donne, on multiplexe dans le 
temps deux chaines virtuelles implantees sur une seule 
chaTne physique : les donnees resultantes de chaque 
execution d'une chaTne virtuelle sont stock6es dans des 

20 « tables du duplex multiplex^ dans le temps » (e.g. com- 
mandes, contexte) afin d'etre votees avant utilisation. 
[0070] La correction consiste, suite a une detection, 
a inhiber le cycle temps reel en cours, et a recharger un 
contexte sain pour effectuer une reprise qui consiste en 

25 une execution nominale du cycle suivant a partir du con- 
texte recharge : tout se passe comme s'il y avait un 
« trou » d'un cycle temps reel. 

[0071] Le traitement d'erreur autorise par le dispositif 
de I'invention est base sur le fait qu'une erreur gene>ee 

30 par un evenement singulier est transitoire : une telle er- 
reur apparaissant pendant I'execution de la premiere 
chaTne virtuelle n'est pas reproduite lors de I'execution 
de la deuxieme chaTne (ou reciproquement). Parcontre, 
les erreurs statiques dans le temps ne peuvent etre de- 

35 tectees par le traitement d'erreur autorise par le dispo- 
sitif de I'invention : par exemple les pannes de compo- 
sants (collage d'un bit, etc.), voire meme certaines er- 
reurs dues a des evenements singuliers et qui provo- 
queraient une erreur permanente (e.g. blocage d'un se- 

40 quenceur). 

[0072] Les actions en aval du module vote, e'est-a- 
dire le transfer! de donnees vers I'electronique de com- 
mande (i.e. le bus de donnees), ainsi que I'electronique 
de commande elle-m§me : ne sont pas protegees par le 

45 traitement d'erreur autorise par le dispositif de I'inven- 
tion. L'utilisateur realise une analyse systeme afin de 
determiner les commandes critiques qui necessitent 
d'etre exemptes d'erreurs, et de les prot6ger par des 
mecanismes bien connus de I'homme de metier : coda- 

so ge des donnees, circuit d'auto-controle, instrumentation 
de I'electronique de commandes, etc. 
[0073] La figure 6 donne une description fonctionnelle 
du traitement d'erreur autorise par le dispositif de I'in- 
vention. 

55 [0074] Sur cette figure on retrouve les flux de donnees 
(traits gras) grace auxquels la chaTne virtuelle #1 47 re- 
coit les acquisitions #1, la chaine virtuelle #2 48 recoit 
les acquisitions #2, le voteur securise 49 recoit les sor- 
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ties de ces deux chatnes 47 et 48, et 6met les comman- 
des. On retrouve egalement le signal d'erreurs (trait fin) 
qui relie le module vote securise 49 aux deux chaines 
virtuelles 47 et 48, pour realiser une demande de re- 
chargement de contexte afin d'initialiser une correction 
par reprise. 

[0075] Le sequencement global du traitement d'er- 
reur autorise par le dispositif de invention est illustre 
sur les figures 5A et 5B : 

figure 5A : sequencement sans le traitement d'er- 
reur autorise par le dispositif de I'invention, les com- 
mandes etant neanmoins groupees en fin de traite- 
ment, 

figure 5B : sequencement avec le traitement d'er- 
reur autorise par le dispositif de I'invention. 

[0076] La figure 5A illustre deux cycles temps r£els N 
et N+1 , et le debut du cycle N+2. 

[0077] Chaque cycle temps reel est constitu£ de qua- 
tre phases distinctes dans le temps : 

acquisition des donnees, 

traitement avec calcul des commandes, 

transmission des commande, 

tache de fond (« Scrub ») et veille (« Standby ») ap- 
pelee ici « Scrub+Standby ». 

[0078] La figure 5B illustre le traitement d'erreur auto- 
rise par le dispositif de I'invention, dans lequel chaque 
cycle temps reel est constitue de : 

acquisition chaine virtuelle numero 1 (ChV#1), 

traitement chaine virtuelle numero 1 ; les r6sultats 
etant stocked dans une table TAB#1 , 

acquisition chaine virtuelle numero 2 (ChV#2), 

traitement chaine virtuelle numero 2 ; les resultats 
etant stockes dans une table TAB#2, 

vote des tables TAB#1 et TAB#2, 

generation des commandes 

tache de fond et veille. 

[0079] La figure 7 illustre un synoptique de I'ensemble 
du traitement d'erreur autorise par le dispositif de I'in- 
vention, en presentant I'ensemble des circuits permet- 
tant une mise en oeuvre de celui-ci. 
[0080] Un premier module microprocesseur 50 per- 
mettant de gerer I'ensemble des m£canismes logiciels, 
en particulier : 



la duplication temporelle des taches, 
la mise en table des variables, 
5 - le vote securise, 

la correction par reprise, 

la gestion des mecanismes materiels. 

10 

[0081] Le dispositif de I'invention 51 de surveillance 
d'acces memoire et de fenetre de validation temporelle 
est relie au bus 52 du microprocesseur 50, une m£moire 
a detection et correction d'erreur 53 et un coupleur de 
is bus 54. 

[0082] Le module 51 representant le dispositif de I'in- 
vention genere un signal d'erreur sur la borne « Reset » 
du microprocesseur 50, un signal de selection (« chip- 
select », CS) sur la memoire 53, et un signal de selec- 
20 tion sur le coupleur de bus 54. 

[0083] La memoire 53 est partagee en segments, 
chaque segment disposant d'un droit d'acces specifique 
(validation par cles). Le coupleur de bus 54, qui estrelte 
a un bus de donnees 55 donnant acces aux autres fonc- 
25 tions du calculateur (electronique d'acquisition, de com- 
mande, etc..) est valide par un signal de type « fenetre 
temporelle ». 

[0084] Le traitement d'erreur autoris6 par le dispositif 
de I'invention s'articule ainsi autour des caracteristiques 
30 suivantes : 

de trois niveaux de zones de confinement des 
erreurs : temporel, logiciel et materiel ; 

35 - d'une mise en table des variables/don n6es ; 

d'une duplication temporelle des traitements ; 

d'un module vote logiciel securise unique permet- 
40 tant une detection d'erreur par comparaison des re- 
sultats de chacun des traitements, le module vote 
realisant egalement la generation des 
commandes ; 

45 - d'un processeur de surveillance logiciel qui partici- 
pe au controle de I'integrite du vote ; 

d'un plan memoire de I'unite centrale proteg6 des 
§venements singuliers par code detecteur et cor- 
50 recteur d'erreur ; 

d'une segmentation de la memoire associee au dis- 
positif materiel de controle des droits d'acces qui, 
avec ('element precedent, permet de sauvegarder 
55 de facon sure le contexte de reprise et de detecter 
des erreurs d'adressage ; 

d'un controle des transferts vers I'electronique de 
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commande, via le bus de donnees, par le dispositif 
materiel controlant les droits d'acces, delimitantain- 
si une zone de confinement des erreurs ; 

d'une correction par reprise. en cas d'erreur. 

[0085] On va, a present analyser successivement 
chacune de ces caracteristiques. 

Zones de confinement 

[0086] La zone majeure de confinement des erreurs 
60 est constitute de I'electronique d'acquisition 41 et de 
I'unite centrale 40, comme illustre sur la figure 8 : sur 
cette figure on utilise les memes references que celles 
de la figure 4. Ainsi, si une erreur perturbe les acquisi- 
tions ou le traitement, cette erreur ne peut pas etre ge- 
neree vers I'electronique de commande 43. Les erreurs 
survenant suite a un evenement singulier dans I'electro- 
nique d'acquisition 41 ou dans I'unite centrale 40 ne 
peuvent done pas engendrer de mauvaises comman- 
des du satellite ; elles ne perturbent pas la mission. 
[0087] Cette zone de confinement 60 est, grace au 
vote, effective pour les erreurs que le module vote est 
capable de detecter. Pour les autres erreurs, cette zone 
de confinement est egalement quasi etanche grace a la 
presence du controle de droit d'acces : le dispositif ma- 
teriel de fenetre de validation temporelle bloque toute 
generation de commande sur le bus non autorisee 
[0088] Par ailleurs, d'autres zones de confinement 
sont definies dans le traitement d'erreur autorise par le 
dispositif de I'invention : 

confinement temporel des erreurs au niveau d'un 
cycle temps reel puisque la correction est basee sur 
une granularite d'un cycle temps reel ; 
confinement des erreurs au niveau des taches lo- 
gicielles grace au dispositif de I'invention de sur- 
veillance des acces memoire et au niveau des chaT- 
nes virtuelles egalement grace a la surveillance des 
acces memoire. 

Tables du procedS 

[0089] Lefonctionnementdu traitement d'erreur auto- 
rise par le dispositif de ('invention s'appuie sur un jeu de 
tables ou sont en particulier stockees les donnees a vo- 
ter (ces tables sont done dupliquees, un jeu etant gere 
par ChV#1 , I'autre par ChV#2). On appelle ces tables 
« tables du duplex multiplexe dans le temps » car elles 
sont specifiques au fonctionnement duplex, par opposi- 
tion aux tables usuelles du logiciel. On peut citer par 
exemple : 

table d'acquisition (TAB-Acq), 

table de commande (TAB-Cde), 
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table de contexte (TAB-Ctxt). 

[0090] Pour permettre une restauration du contexte 
lors d'une correction par reprise, chacune des tables de 

5 contexte TAB-Ctxt#1 et TAB-Ctxt#2 est en fait consti- 
tute d'un jeu de deux tables qui travaillent en bascule- 
ment un cycle sur deux en fin de tache (i.e. en fin de 
vote). Un jeu de deux index « Old » (ancien) et « New » 
(nouveau), memorises en memoire, leur est associe. 

w [0091] Ainsi, lors du cycle numero N de la tache K, 
pour la chaine virtuelle 1, la premiere table est par 
exemple consideree comme <* New » et notee 
TAB-Ctxt-New#1 , la deuxieme table est « Old *> et notee 
TAB-Ctxt-Old#1 . Si aucune erreur n'est detectee par le 

15 vote de la tache K, le basculement en fin de vote inter- 
vene les roles : la premiere table devient alors TAB-Ctxt- 
Old#1 , et la deuxieme TAB-Ctxt-New#1 . 
[0092] Les zones « Old » sont interdites en ecriture 
grace au dispositif de I'invention de surveillance des ac- 

20 ces memoire afin de proteger, par exemple, d'un plan- 
tage du microprocesseur, le contexte de reprise une fois 
vote et juge sain. 

Sequencement - duplication temporelle 

25 

[0093] Par rapport a I'architecture logicielle de refe- 
rence definie ci-dessus, le traitement d'erreur autorist 
par le dispositif de I'invention impose de ne pas generer 
les commandes au fur et a mesure de leurcalcul comme 

30 indique a la figure 3, mais de les stocker dans une table 
en attente du vote (voirfigure5B). Lorsque le traitement 
est termine pour les deux chatnes virtuelles, les tables 
sont votees et ce n'est que si aucune incoherence n'est 
detectee entre elles que le module de vote genere les 

35 commandes : i.e. I'une des deux tables de commande 
est envoyee par I'unite centrale 40 vers I'electronique 
de commande 43 par I' intermedia ire du bus 45. 
[0094] Le sequencement global du traitement d'er- 
reur autorise par le dispositif de I'invention, pour une ta- 

40 chedonnee, incluant I'aspect duplication temporelle, est 
decrit ci-apres au vu de la figure 9. 
[0095] Cette figure illustre le sequencement du du- 
plex multiplexe dans le temps, selon le traitement d'er- 
reur autorise par I'invention, et le basculement des ta- 

45 bles de contexte. 

[0096] Les cycles temps reel sont initialises par des 
interruptions temps reel IT-TR. 

[0097] Chaque cycle temps r6el est constitue des 
phases suivantes : 

so 

sequenceur/executif temps reel (ETR), 
tache A, 

55 - sequenceur/executif temps reel, 
- tache B, 
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s6quenceur/executif temps reel, 
tache C, 

sequenceur/executif temps reel, 

tache de fond et veille. 

[0098] La teche A consiste, de meme que les taches 

B et C, comme illustre sur la figure 5B, en : 10 

acquisition chaine virtuelle numero 1 , 

traitement chaine virtuelle numero 1 , 

15 

acquisition chaine virtuelle numero 2, 

traitement chaine virtuelle numero 2, 

vote et generation des commandes. 20 

[0099] On a les etapes suivantes : 

• Pendant le Module « traitement » de la chaine vir- 
tuelle numero 1 (ChV#1) : 25 

acquisition des donnees pour ChV#1 et stoc- 
kage dans TAB-Acq#1 ; 

execution des traitement associes a ChV#1 a 



• Pendant le Module « Vote et generation des 
commandes », c'est-a-dire comparaison des tables 
et execution des actions concernant les tables : 

50 

comparaison mot a mot de TAB-Cde#1 et 
TAB-Cde#2 ; 

comparaison mot a mot de TAB-Ctxt-New#1 et 
TAB-Ctxt-New#2 ; 

si aucune erreur n'est detectee, poursuite du 55 
processus ; sinon : mise en « standby », c'est- 
a-dire en veille ; 

commutation des tables de contexte par chan- 



20 

gement d'index : TAB-Ctxt-New remplace 
TAB-Ctxt-Old et sert de contexte pour le pro- 
chain cycle temps reel ; 
realisation des commandes : Tune des deux 
TAB-Cde est videe sequentiellement pour 
transferer les demandes de commandes vers 
I'electronique de commande via le bus de 
donnees ; 

initialisation des parametres du duplex multi- 
plexe dans le temps (tables du duplex multi- 
plexe dans ie temps, variables de gestion du 
duplex multiplexe dans ie temps). 

[0100] Ainsi, a la figure 9, lors du cycle temps reel 
N+1 , le contexte d'entree de la tache A est TAB-Ctxt- 
Old(N) si aucune erreur n'a ete detectee lors du cycle 
temps reel N, cette table contenant en fait les donnees 
de TAB-Ctxt-New(N) grace a la commutation ; sinon, le 
contexte d'entree de la tache A est TAB-Ctxt-Old(N-l), 
cette table 6tant identique a la table TAB-Ctxt-Old(N-1 ) 
du cycle temps reel N puisque la commutation des con- 
textes n'a pas lieu en cas d'erreur. 
[0101] Durant les modules de traitement, un code de 
controle (checksum) est calcule pour chacune des ta- 
bles qui sont soumises au vote ; il participe a la verifi- 
cation de I 'exhaust ivite (de r integrate) du vote. 

Vote logiciel sec u rise 

[0102] Les donnees qu'il est necessaire au minimum 
de voter sont les differentes sorties du module de trai- 
tement, comme illustr6 sur la figure 1 0, a savoir : 

les donndes 65 sortant du calculateur(les comman- 
des) pour ne pas geneYer d'actuations erron6es, 
les donnees 66 servant a la reprise (le contexte : si 
le cycle N est en faute, les donnees saines N-1 se- 
ront restituees pour la reprise), le contexte de repri- 
se se devant d'etre sain. 

[0103] Ainsi, toutes les donnees sortant du module de 
traitement sont votees. Le vote associe a une tache don- 
nee est realise en fin de cette tache, ceci etant defini 
par la granularite de la detection/correction. 
[0104] En ce qui concerne le module vote, le traite- 
ment d'erreur autoris6 par le dispositif de ('invention per- 
met d'obtenir les caracteristiques suivantes : 

Pas besoin d'utiliser un composant externe tolerant 
aux evenements singuliers si Ton sait definir des 
dispositif s de securisation du vote ; I' architecture en 
est ainsi simplifiee : le vote peut etre realist par le 
microprocesseur lui-meme, entierement en logiciel, 
avec un support des quelques dispositifs materiels 
formant le dispositif de Pinvention. 
Le vote logiciel n'est pas duplique\ 

[01 05] Le traitement d'erreur autorise par le dispositif 
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partirdeTAB-Acq#1 etTAB-Ctxt-Old#1 ; les re- 30 
sultats de ces traitements sont stockes dans les 
tables TAB-Cde#1 et TAB-Ctxt-New#1 ; aucu- 
ne commande n'est generee par I'unite centrale 
vers les actuateurs. 

35 

• Pendant le Module « Traitement » de la chaine vir- 
tuelle numero 2 (ChV#2) : 

acquisition des donn6es pour ChV#2 et stoc- 
kage dans TAB-Acq#2 ; 40 
execution des traitements associes a ChV#2 a 
parti rdeTAB-Acq#2 etTAB-Ctxt-Old#2 ; les re- 
sultats sont stockes dans TAB-Cde#2 et 
TAB-Ctxt-New#2 ; aucune sortie n'est effec- 
tuee par le calculateur. 45 
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de I'invention est base sur ['utilisation au mieux des ca- 
pacity de detection d'une architecture duplex, c'est-a- 
dire pouvant detecter tous les types d'erreur, y compris 
les erreurs de sequencement qui sont a la fois les plus 
difficiles a detecter et qui ont potentiellement les conse- 
quences les plus graves. Ces erreurs ont un impact sur 
la coherence des tables du duplex multiplexe dans le 
temps ; elles sont done detectees par un vote logiciel a 
condition qu'il soit securise, e'est-a-dire qu'il ne puisse 
etre declenche par un microprocesseurfonctionnant in- 
correctement. II faut done s'assurer de Tintegrit6 du vote 
par des mecanismes adequats. 
[01 06] La securisation du vote est basee sur deux Ele- 
ments centraux : 

verification en debut de vote de I'etat sain du micro- 
processeur et du module unite centrale, 
verification en cours de vote de la compietude du 
vote, af in d'autoriser la generation des commandes. 

[0107] La structure du vote est definie en fonction de 
I'analyse des possibility de mauvais branchement d'un 
microprocesseurvictime d'un plantage « doux », la figu- 
re 11 A illustre les differentes erreurs de sequencement 
possible de type « plantage doux ». 
[0108] Les « plantages durs » sont traites par un 
chien de garde, methode usuelle pour I'homme de Part. 
[0109] La structure du module de « Vote logiciel et ge- 
neration des commandes » associe a la tache K est il- 
Iustr6e sur la figure 11 B est la suivante : 

a) verification de I'etat du microprocesseur se bran- 
chant au debut du vote et du module unite centrale : 
verifier que lepointeurde pile est dans la zone auto- 
risee, verifier les registres de configuration du mi- 
croprocesseur et de ia carte unite centrale ; 

b) inhibition des caches si possible pour minimiser 
la probabilite d'erreur durant le vote ; 

c) verif ication d'une variable Cie- Vote a 0, puis mise 
a 1 (i.e. vote) ; cette variable est une cie permettant 
de controler globalement le bon sequencement du 
microprocesseur grace a un procede de Surveillan- 
ce Logiciel ; 

d) activation de la cie du dispositif surveillance d'ac- 
ces m6moire indiquant un vote en cours et autori- 
sant I'acces simultane aux deux zones memoire 
ChV#1 et ChV#2 ; 

e) vote de toutes les tables resultantes du duplex 
multiplexe dans le temps et calcul d'un code redon- 
dant cyclique calcule lors des votes CRC-V, au fur 
et a mesure du vote, pour cheque table : TAB-Cde, 
TAB-Ctxt-New ; 

f) verification de Cle-Vote a 1 , puis mise a 2 (i.e. ge- 
neration des commandes) ; 

g) comparaison des CRC-V aux codes redondants 
cycliques calcules lors des traitements CRC-T; 

h) inhibition de la c!6 du dispositif de surveillance 
d'acces memoire indiquant un vote en cours ; 



i)si le resultat des tests e, f et g est correct, alors 
ouverture d'une fenetre de validation temporelle du 
coupleur de bus grace au dispositif de fenetre de 
validation temporelle ; 
5 ^reinitialisation des registres de configuration des 
cartes de commandes ; 

k)generation des commandes vers le coupleur de 
bus ; 

l)verif ication des registres de configuration des car- 
te tes de commandes, et action en fonction du type 
d'erreur eventuellement detecte (en general : re- 
emission de la commande) ; 
la fenetre temporelle s'est terminee, ou va se 
terminer ; 

is m)verification de Cie-Vote a 2, puis mise a 3 (i.e. 
commutation et initialisation) ; 
n)basculement des tables de contextes de la tache 
K en intervertissant son jeu d'index « Old » et 
« New » stocke en memoire ; 

20 o)initialisation de toutes les tables de la tache K, 
hormis les tables « Old »> avec des valeurs en com- 
plement a 1 entre ChV#1 et ChV#2 ; 
p)transfert des tables « Old » vers les tables 
« New » , et vote pour verifier ce transfer! ; ce trans- 

25 fert est necessaire pour assurer la perennite des va- 
riables qui ne sont pas mises a jour systematique- 
ment a chaque execution de tache ; 
q)verification de Cle-Vote a 3, puis mise a 0 (i.e. 
inhibe) ; 

30 r)validation des caches. 

[0110] La procedure « vote/generation des comman- 
des/commutation/initialisation des tables du duplex 
multiplexe dans le temps » est non secable, i.e. elle ne 
35 doit pas etre preemptee (une fois initial isee, elle doit se 
terminer). Une interruption peut, parcontre, interrompre 
momentanement ce module. 



Proeesseur de surveillance logiciel 

40 

[0111] Un procede de Surveillance Logiciel, connu de 
I'homme de metier, permet de conf ier au logiciel lui-me- 
me le controle du bon sequencement des instructions 
du microprocesseur. Le logiciel est decoupe en seg- 

45 ments eiementaires iineaires, e'est-a-dire compris entre 
deux branchements. Les segments Iineaires ne com- 
portant pas eux-memes destructions de branchement, 
une fois que le microprocesseur a execute la premiere 
instruction dece segment, celui-ci doitforcement arriver 

50 jusqu'a I'execution de la derniere instruction de ce me- 
me segment. 

[01 12] On verifie que le microprocesseur est bien ren- 
tre dans un segment lineaire exactement a son point 
d'entree, et non ailleurs, grace au preievement d'une cie 
55 au point d'entree et son controle au point de sortie. 
[0113] La securisation du vote utilise entre autre ce 
procede de Surveillance Logiciel ; la variable logicielle 
« Cie-Vote» etant une cle associee a ce precede. Ce 
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module vote est partition ne en trois segments fonction- 
nels (vote, generation des commandes, commutation et 
initialisation), le reste du logiciel applicatif representant 
en quelque sorte un quatrieme segment : 

en debut de chaque segment, on controle la valeur 
de la cle du procede de Surveillance Logiciel pour 
s'assurer que le microprocesseur est bien sorti du 
segment precedent exactement a son point de sor- 
tie et non ailleurs, on verifie ainsi que les segments 
s'enchainent bien les uns a la suite des autres ; 
puis, juste apres ce controle de debut de segment, 
on positionne la cle du procede de Surveillance Lo- 
giciel a une valeur correspondant au segment 
courant ; 

en fin de chaque segment, on controle que le mi- 
croprocesseur est bien rentre dans le segment cou- 
rant exactement a son point d'entree et non ailleurs. 



classique : 



Protection du plan memoire 

[0114] Les plans memoires sont classiquement pro- 
teges contre les evenements singuliers par code cor- 
recteur (EDAC) et tache de relecture en tache de fond 
de tout le plan memoire pour detecter et corriger les er- 
reurs dormantes. Ceci est necessaire car de multiples 
erreurs sur le meme mot ne pourraient plus etre detec- 
tees et/ou corrigees. 

[01 1 5] Le traitement d'erreur autorise par le dispositif 
de I'invention s'appuie : 

sur une memoire fiable vis-a-vis des evenements 
singuliers grace a I'utilisation d'un code correcteur 
(EDAC) ; 

sur une memoire fiable vis-a-vis des ecritures incor- 
rectes suite a une erreur d'adresse, ^instruction, un 
plantage du microprocesseur, etc., grace a I'utilisa- 
tion du dispositif de {'invention realisant une sur- 
veillance des droits d'acces. 

Dispositif de surveillance des acces memoire 

[0116] Le dispositif de I'invention de Surveillance des 
Acces Memoire ou SAM est un dispositif materiel derive 
des classiques unites de protection memoire par blocs. 
II permet de verifier que le microprocesseur cherchant 
a acceder a une zone memoire delimitee, en possede 
bien le droit d'acces. 

[01 17] Le dispositif de I'invention de surveillance d'ac- 
ces memoire permet de detecter une grande partie des 
erreurs d'adresses. II permet, en particulier, de detecter 
tres rapidement de nombreux cas de plantage du micro- 
processeur. En effet, suite a un plantage « doux », un 
microprocesseur peut frequemment sortir de la zone 
d'adresses autorisee. 

[01 18] Le dispositif de I'invention de surveillance d'ac- 
ces memoire dispose de certaines specificites par rap- 
port a une unite de protection memoire par bloc 



la taille des segments est quelconque, et definie en 
fonction de I'application ; 

I'autorisation d'acces se fait en programmant des 
cles memorisees dans des registres internes au 
dispositif de surveillance d'acces memoire, la defi- 
nition et la combinaison de ces cles enfre eiies etant 
10 specifiques au procede de I'invention. 

[01 19] La liste des cles integrees dans le dispositif de 
surveillance d'acces memoire est la suivante : 

is - cie d' interdiction d'acces en ecriture a la zone me- 
morisant le code, car une erreur de code serait une 
erreur de mode commun aux deux chaines virtuel- 
les et ne pourralt pas etre detectee par le vote. Cette 
cle permet d'autoriser I'ecriture de la memoire uni- 

20 quement lors de Initialisation du calculateur, lors- 
que lecode en memoire morte esttransfere en me- 
moire vive. 

Cle indiquant quelle est la chaTne virtuelle courante, 
25 ChV#1 ou ChV#2, et interdisant au microproces- 
seur d'acceder a la zone memoire contenant les ta- 
bles de ChV#2 lorsque c'est ChV#1 qui est en train 
de s'executer (et reciproquement). Cette cle permet 
une etancheification aux erreurs d'une chaine vir- 
30 tuelle par rapport a I'autre. 

Cle indiquant un vote en cours d'execution : lors- 
qu'eile est active, elle autorise exceptionnellement 
au microprocesseur d'acceder simultanement aux 
35 deux zones ChV#1 et ChV#2 pour pouvoir realiser 
le vote. 

Cle indiquant quelle est la tache courante, et auto- 
risant le microprocesseur a n'acceder qu'a la zone 
^o memoire contenant les tables de la tache du logiciel 
en cours d'execution. Cette cle permet une etan- 
cheification aux erreurs d'une tache par rapport aux 
autres. 

45 - cie indiquant quelle est, parmi les jeux de deux ta- 
bles « Old »/ « New » travaillant en basculement, 
les zones « Old » et les zones « New », les zones 
« Old » etant interdites en ecriture. 

50 Dispositif de fenetre de validation temporelie 

[0120] Le dispositif de Fenetre de Validation Tempo- 
relie ou FVT est un dispositif materiel original. II est rea- 
lise a I'aide d'un compteurde temps classique. II permet 
55 de confiner les erreurs au niveau materiel. II est concu 
pour : 

interdire a un microprocesseur piante qui irait exe- 
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cuter du code de gestion de l'6lectronique de com- 
mandes, de generer une commande sans avoir ac- 
quits correctement un droit d'acces ; 
interdire a un microprocesseur qui executerait une 
instruction erronee de type « ecriture a une adresse 
correspondant a une cornmande » de generer une 
commande par inadvertance. 

[0121] Le dispositif de fenetre de validation temporel- 
le protege done le systeme de commandes intempesti- 
ves, avec les consequences potentiellement catastro- 
phiques que celles-ci pourraient avoir pour I* application. 
II est arme prealablement pour autoriser I'acces a l*6lec- 
tronique de commande : on ouvre une fenetre de vali- 
dation d'acces temporelle. 

[0122] Dans les cas d'erreurs mentionnes ci-dessus, 
le microprocesseur n'accede pas a T6iectronique de 
commande en executant la procedure d'interface de fa- 
con exhaustive ; par consequent, Tacces non autorise 
est immediatement detecte par ce dispositif puisque le 
microprocesseur n'a pas ouvert prealablement la fene- 
tre de validation temporelle. 

[01 23] Le dispositif de fenetre de validation temporel- 
le est arme apres avoir pris la decision qu'aucune erreur 
n'etait prSsente. Cette decision est basee d'une part sur 
la verification de I'etat sain du microprocesseur et de 
I'unite centrale (en debut de vote, puis avec la variable 
"cle vote" et le controle de "checksum" en cours de vote) 
et d'autre part sur le resultat du vote. 

Correction 

[0124] La correction s'execute suivant le sequence- 
ment suivant : 

lorsqu'une erreur est detectee, le cycle temps reel 
courant (numero N) est inhibe, aucune commande 
n'est generee : le microprocesseur passe en mode 
veille en attendant le cycle temps reel suivant, 
le cycle temps reel suivant N+1 s'execute non pas 
a partir du contexte N, qui n'est pas sur, mais du 
contexte precedent N-1 , et des acquisitions du cy- 
cle courant N+1 . 

[0125] On ne rejoue pas le cycle temps reel fautif, on 
se contente simplement d'inhiber le cycle temps reel 
courant et de restaurer le contexte du cycle precedent. 
En cas d'erreur, le microprocesseur ne genere pas les 
commandes du cycle temps r§el courant puisqu'il s'est 
mis en veille : tout se passe comme s'il y avait un 
« trou » d'un cycle temps reel. 

[0126] La correction ne necessite aucune action 
specifique : le microprocesseur s'etant mis en veille 
apres une detection, il ne poursuit pas I' execution du 
module de vote ; cela entraTne naturellement une non 
permutation des contextes « Old » et « New » qui se fait 
en fin du module vote. 

[0127] Etant donne le caractere transitoire des er- 



reurs detectees par le precede, une seule tentative de 
reprise est effectu6e. Si elle est infructueuse, une reini- 
tialisation complete du calculateur est alors necessaire. 

5 Sequenceur - Executif temps reel 

[0128] Le sequenceur, ou I'executif temps reel, qui 
permettent I'ordonnancement des taches logicielles, ne 
sont pas directement proteges. L'objectif est de pouvoir 
10 utiliser un executif commercial, done de ne pas le mo- 
difier pour y integrer des m6canismes de tolerance aux 
fautes. 

[0129] Par contre, le temps d'execution qui leur est 
consacre, au regard du temps d'execution total, est tres 
is faible. Par consequent, les erreurs d'ordonnancement 
des taches sont des modes communs aux deux chames 
virtuelles, non detectables, mais qui ont un impact tres 
reduit sur le taux de couverture. 

[01 30] Par ailleurs, les zones de confinement permet- 
20 tent de bloquer une partie des erreurs non detectees 
avant qu'une mauvaise commande nesoit initialisee re- 
duisant ainsi I'impact des erreurs provenant, entre 
autre, de I'ordonnanceur. 



[0131] Des variantes du traitement d'erreur autoris6 
par le dispositif de Tinvention sont possibles, en parti- 
culier en simplifiant certaines de ses caract6ristiques, 
30 par exemple. 

Simplification des securites du vote : suppression 
du calcul de somme de controle « checksum », le 
controle par procede de surveillance logiciel etant 
35 considere comme suffisant. 

Simplification du dispositif de I'invention de sur- 
veillance des acces memoire : pas de cloisons 
etanches entre Ch V#1 et ChV#2 (suppression de 
40 la cle indiquant la chaTne virtuelle courante), car la 
probabiiite d'erreurs identiques entre les deux chaT- 
nes est a priori tres faible. 

Developpementet realisation du traitement d'erreur 
45 autorise par le dispositif de I'invention 

[0132] Le traitement d'erreur autorise par le dispositif 
de I'invention a ete developpe dans le but de r6aliser 
une validation la plus generique et la plus exhaustive 
so possible, et d'effectuer une mesure du taux de couver- 
ture d'erreur que Ton peut atteindre. 

Objectif 

55 [0133] L'objectif recherche etait de disposer d'une 
realisation (maquette) materielle et logicielle represen- 
tative d'une'application spatiale typique, dans le but de 
valider une fois pour toutes le traitement d'erreur auto- 



25 Variantes de realisation 
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ris6 par le dispositif. Un projet spatial en effet analyse, 
dans les phases preliminaires, les differentes solutions 
utilisables. Pour les solutions nouvelles, une preuve de 
bon fonctionnement et d'adequation au besoin est re- 
cherchee a travers une maquette, ce qui entraine des 
delais notables avant que I'equipe projet puisse se pro- 
noncer surson utilisation. 

[0134] Par consequent, en avance de phase, une va- 
lidation generique est entreprise afin de pouvoir fournir, 
a tout projet interesse, un dossier complet : specifica- 
tions de besoin, specifications de realisation, dossiers 
de realisation, resultats de validation, resultats de me- 
sure de taux de couverture d'erreurs, etc. 
[0135] Ainsi, en phase prtliminaire, tout projet peut 
disposer du dossier complet de developpement/valida- 
tion de ce traitement d'erreur autorise par le dispositif 
sans avoir besoin de redeVelopper une maquette. Par 
consequent, par exemple a travers un audit, il peut de- 
terminer rapidement I'adequation entre le procedt et le 
besoin du projet afin de prendre une decision quant a 
sa selection. 

Methode de validation 

[01 36] Le traitement d'erreur autorise par le dispositif 
de {'invention est valide par injection de fautes. Deux 
types d' inject ion, avec des object if s distincts, sont ainsi 
realises. 

Dans une premiere phase, une injection logicielle 
d'erreurs deterministes est realisee. Dans lamesu- 
re ou cette injection est synch rone, il est possible 
de rejouer les scenarios d'erreurs lorsque le traite- 
ment d'erreur autorise par le dispositif est mis en 
defaut. Cette phase permet ainsi de valider le trai- 
tement d'erreur autorise par le dispositif, et poten- 
tiellement de le faire evoluer afin d'ameliorer ses 
performances de detection/correction d'erreurs. 
Dans une deuxieme phase, une injection d'erreurs 
aleatoires est realisee en soumettant les compo- 
sants principaux de la realisation a un faisceau de 
particules (ions lourds, protons) dans un accel6ra- 
teurde particules. Cette phase, complementaire de 
la prec6dente, permet une validation de bout en 
bout car le spectre des erreurs injectees est plus 
large. De plus, puisque la distribution des erreurs 
est representative d'un environ nement applicatif 
reel, elle permet de mesurer finement le taux de 
couverture d'erreurs du traitement d'erreur autorise 
par le dispositif. 

Realisation materielle 

[0137] La realisation mateYielle developpee est cons- 
titute principalement de trois parties : I'unite de traite- 
ment, I'unite d'acquisition et I'unite d'observabilite. 
[0138] L'unite de traitement est developpee autour 
d'un microprocesseur de type Power PC 603e et de sa 
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memoire, ainsi que d'un composant programmable in- 
tegrant tous les mecanismes materiels du dispositif de 
Pinvention. 

[0139] L'unit6 d'acquisition permet de simuler plu- 
5 sieurs canaux d'acquisition pour le microprocesseur, 
chacun de ces canaux ayant des caracteristiques 
particulieres : acquisitions effectuees sur demande du 
microprocesseur (simulation de capteurs simples), ac- 
quisitions effectuees cycliquement et que le micropro- 
w cesseur doit lire a la volee (simulation de capteurs intel- 
ligents tel qu'un senseur stellaire ou un GPS), reception 
de telecommandes, etc. Ces canaux d'acquisition sont 
realises autour de nano-contrdleurs de type PIC 
16C73A. 

15 [0140] L'unite d'observabilite integre la commande- 
controle de la realisation (chargement du logiciel, ob- 
servabilite du microprocesseur, etc.) ainsi qu'un canal 
permettant la simulation des actuations effectuees par 
le microprocesseur. Les sorties sur ce canal sont sys- 
tematiquement controlees pour verifier qu'il n'y a pas de 
fausses actuations generees par le calculateur malgre 
le fait qu'il soit soumis a des erreurs transitoires. 

Realisation logicielle 

[0141] Afin d'etre le plus representatif possible des 
applications temps reel embarquees, spatiales ou 
d'autres domaines, le logiciel applicatif deveioppe (i.e. 
la realisation logicielle) dispose des caracteristiques 
suivantes : 

s6quencement base sur un sequenceur cyclique, 
qui sera utterieurement remplace par un executif 
temps reel commercial ; 

plusieurs taches applicatives principales, par 
exemple six, de priorites differentes, certaines cy- 
cliques, d'autres aperiodiques asynchrones ; Pune 
des taches etant le coeur du programme de contro- 
le d'attitude d'un engin spatial ; 
I'application est basee sur des cycles temps reel 
rythmes par une horloge temps reel, les taches ap- 
plicatives ayant des periodicites differentes ; 
plusieurs taches applicatives, par exemple trois, 
sont preemptees par des taches plus prioritaires ; 
le logiciel doit reagir en temps r£el a des evene- 
ments asynchrones extemes provenant des ca- 
naux d'acquisition. 
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R eve ndi cat ions 

1 . Dispositif de surveillance des acces memoire dans 
un calculateur comprenant une unite centrale, rea- 
lisee autour d'un microprocesseur, et une memoire, 
caracterise en ce que la memoire est partitionnee 
en segments, en ce que chaque segment a un droit 
d'acces defini par une fonction logique de tout ou 
partie des cles disponibles dans le dispositif, le droit 
d'acces a chacun des segments etant controle en 
temps reel, et en ce que certains segments ont un 
acces autorise seulement si le microprocesseur a 
une tres forte probability d'etre en bon etat de fonc- 
tionnement, et permettent ainsi un stockage sur de 
donnees critiques. 

2. Dispositif selon la revendication 1 , dans lequel, en 
fonction de la programmation des cles disponibles 



dans le dispositif, un ensemble de segments dis- 
joints est accessible, en lecture seule pour certains 
segments, en lecture/ecriture pour d'autres seg- 
ments. 

5 

3. Dispositif selon la revendication 1 , dans lequel la 
tailie des segments est quelconque, afln d'etre op- 
timisee pour une application donnee. 

10 4. Dispositif selon la revendication 1, dans lequel la 
definition du jeu de cles disponibles : les fonctions 
logiques de combinaison de ces cles et la configu- 
ration des segments accessibles en fonction de la 
programmation des cles ; sont specifiques. 

15 

5. Dispositif selon la revendication 1 , dans lequel run 
des segments dispose d'une autorisation d'ecriture 
accessible selon un etat exceptionnel du calcula- 
teur, permettant ainsi un stockage sur de donnees 

20 critiques. 

6. Dispositif selon la revendication 1, dans lequel les 
segments permettant un stockage sur de donnees 
critiques sont groupes par deux, travaillant en bas- 

25 culement. 

7. Dispositif selon la revendication 1 , dans lequel le 
controle des droits d'acces permet plusieurs confi- 
guration d'acces, chaque configuration autorisant 

30 I'acces a un ou plusieurs segments non contigus. 

8. Dispositif selon la revendication 1 , dans lequel le 
controle des droits d'acces permet la selection des 
configurations d'acces selon des combinaisons lo- 

35 giques de une ou plusieurs cles. 

9. Dispositif selon la revendication 1 , dans lequel le 
controle des transferts vers I'electronique de com- 
mande verifie les droits d'acces et limrte dans le 

40 temps la validite de ces transferts, delimitant ainsi 
une zone de confinement des erreurs au niveau ma- 
teriel. 

10. Utilisation du dispositif selon I'une quelconque des 
45 revendications precedentes dans le domaine spa- 
tial. 
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SI CLE-VOTE*0=>ERREUR(LE VOTE/GENE. PRECEDENT A ETE TRONQUE) 
SINON, CLE-VOTE=1 (DEMARRAGE DU VOTE) 



t VOTE DE TAB#1 ET TAB#2 

+ CALCUL DU RCR-V DES DONNEES VOTEES 
AU FUR ET A MESURE DU VOTE 



UJ = 
Q. Z 

so 
•— -a: 

1 1 1 Q 



■> CRC-V 



SI CLE-V0TE*1 = £RREUR(0N N'EST PAS PASSE AU POINT D'ENTREE DU VOTE) 

SINON, CLE-VOTE=2(FIN DU VOTE, DEBUT DE LA GENE. DES CDES) 

SI CRC-V = CRC-T=> ERREUR (PROBLEME DURANT LE VOTE) 

SINON, GENERATION D'UNE FENETRE TEMPORELLE DE VALIDATION 
DU COUPLEUR DE BUS 



GENERATION DESCOMMANDES 
VERS COUPLEUR DE BUS 



SI CLE-V0TE^2= £RREUR (ON N'EST PAS PASSE AU POINT D'ENTREE DE LA GENE) 
SINON, CLE-VOTE=0(FIN DU VOTE/GENERATION DESCOMMANDES) 



FIG. 1 1 B 
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